4.1.3基于行为特征的检测方法
在IRC僵尸网络中,僵尸网络主机的行为具有很明显的特征:很多的僵尸主机会在同一个时间段连接到特定的某个IRC频道中,或者有些主机一直保持连接状态却一直空闲,而对某些特定的命令(即攻击者的控制命令)却很快响应。在小型网络中通过对网络流量的监控,根据僵尸网络流量的这种特征识别是否存在僵尸网络[8],具有不错的效果。但是,在规模较大的网络中,由于有着大量的网络数据流,因此很难通过此方法对僵尸网络进行检测。
4.2针对HTTP僵尸网络检测
HTTP僵尸网络与IRC僵尸网络都属于集中控制型网络,它们的控制方式及原理相似,因此对于它们的检测方法也大多通用。
4.2.1基于蜜网技术的检测方法
基于蜜网技术的检测方法同样适用于HTTP僵尸网络的检测。与检测IRC僵尸网络不同之处在于,通过要蜜网技术收集到恶意攻击信息之后,对收集到的信息进行分析,通过逆向解析得到隐藏在僵尸程序中的信息。对于HTTP僵尸网络的检测来说,需要获取的是HTTP控制服务器地址以及向服务器发起注册申请所需要的信息。获取到这些信息之后,同样需要利用这些信息编写一个仿制的僵尸客户端连接到HTTP僵尸网络中,从而掌握更多有用的信息。
4.2.2基于通信信息特征的检测方法
基于通信信息特征的检测方法同样适用于HTTP僵尸网络。HTTP僵尸网络的通信信息特征与IRC僵尸网络有所不同,但这种方法只需要监控收集需要检测的僵尸网络的通信特征,然后形成对应的特征库,便可对僵尸网络进行匹配检测。
4.3针对P2P僵尸网络检测
4.3.1基于静态特征的检测技术
根据对目前存在的主流P2P僵尸程序进行分析发现,它们都存在一些特征。比如它们都会在程序中预置特定的端口号用于通信,也会指定通信的内容格式特定的控制信息等。基于这样的特点,我们可以利用匹配这些静态特征的手段来检测P2P僵尸网络。若使用这种方法进行检测,就要详细的对P2P僵尸网络进行分析,找出可以用于匹配检测的特征,这样就可以快捷高效的检测僵尸网络,但是这种检测方法的误报率较高,而且无法检测出升级或者发生变异的僵尸网络。
4.3.2基于蜜网分析的P2P 僵尸网络检测技术
蜜网不仅可以检测IRC僵尸网络,对检测方法进行适当改进之后,它同样可以用于P2P僵尸网络的检测。综合考虑蜜网和P2P僵尸网络的特点,如果让蜜网中的一台主机运行僵尸程序,通过P2P网络与其他僵尸主机进行连接,加入僵尸网络[9]。这样就可以获取到僵尸网络的特征信息,例如常用的连接端口,IP初始列表等。根据获取到的这些信息,可以创建一个特征库,通过与特征库的对比来检测网络数据流是否由僵尸网络产生的。但这种基于蜜网的检测技术也具有一定局限性:针对 P2P 僵尸网络,其中一台僵尸主机大多数情况只会与僵尸网络中的一部分主机交换信息,所以蜜网并不能让我们完全的了解僵尸网络的情况。
4.3.3基于主动探测的P2P僵尸网络检测技术
对于P2P 僵尸网络的主动检测的方法是利用爬虫程序主动连接到P2P僵尸网络并加入网络,从而捕获僵尸网络的特性以及网络节点的各种属性。这种方法中用到的爬虫程序通常是由对P2P僵尸程序客户端进行修改得到的。运行爬虫程序的主机就像运行僵尸程序的主机一样连接到P2P僵尸网络,然后收集这个网络的各种信息。收集的信息包括P2P节点的IP、连接用的端口等。这种方法的优点在于容易直观了解P2P僵尸网络的拓扑信息,可信度相对较高、比较准确。但同时这种方法具有很强的针对性,不具有普遍适应性。对于利用开放源代码的P2P系统的僵尸网络,实现对僵尸程序的修改并进行主动检测相对简单;但面对采用私有协议的僵尸网络就显得力不从心,难以进行主动检测,要想实现主动检测就不得不逆向分析待测的僵尸程序,这样做的工作量十分巨大。 僵尸网络入侵研究+文献综述(4):http://www.751com.cn/jisuanji/lunwen_2125.html